» Антивирус Dr.Web (Доктор Веб, Doctor Web, DrWeb antivirus)

попробовал потестировать на сборке вирусов новое ядро
на одном из вирусов сканер уходит в вечный цикл

вот этот древний вирус:
http://ifolder.ru/16053669
парол: 123

Hrist, создайте баг по этому поводу: http://bugs.drweb.com
Раздел: Core Engine.
Если не лень, конечно
Спасибо.

ValeryLedovskoy
создам.
http://bugs.drweb.com/bug_view_advanced_page.php?bug_id=0036778

но хотелось бы - что бы кто нить еще проверил.
вдруг это проблемы чисто моей среды - я прробовал из под барпе

хотя поставил демку на чистую хп сп3 под виртуалбокс - еще хуже
сканер нашел вирь. я сказал лечить - и он завис намертво

Hrist
Скачал архив, извлек файл, спайдер его отправил в карантин как Jerusalem.based.

maxic
ок. а если попробовать его сканером с настройками вылечить или удалить неизлечимый

Hrist
Ага, сканер завис. У меня бета х64.

Цитата:

а если попробовать его сканером с настройками вылечить или удалить неизлечимый

Тогда все висит... Beta x32

maxic
ну вот - можете добавить в мой багрепорт http://bugs.drweb.com/bug_view_advanced_page.php?bug_id=0036778
еще и про х64. хотя не знаю - может быть там такой же сканер что и в х86

Добавлено:
кстати ни укого не завалялся свежий наборчик из последних вирусов?
а то я все проверяю на наборчике многолетней давности

Использовал cureit из-под liveCD для лечения вируса - блокировщика в Висте.
(столкнулся с ним впервые, причем на компьютере приятеля)
На запрос о действии при обнаружении вируса, ответил - лечить все.
В результате получил отчет о двух вирусах Winlock с пометкой - удален.
Винда грузится, но рабочий стол не появляется. Диспетчер задач заблокирован.
Из-под liveCD основные папки вижу, но Documents and Settings заблокирована,
точнее "папка не найдена".
Вопрос - что делать может и не в тему, но, прошу не бейте больно, а поправьте.

И главное - как не стыдно разработчикам антивируса так "лечить" файлы. Лучше вовсе их не трогать, а направить юзера в интернет разбираться.

juPiter

Цитата:

И главное - как не стыдно разработчикам антивируса так "лечить" файлы

Цитата:

Использовал cureit из-под liveCD для лечения вируса - блокировщика в Висте

Вы сами виноваты, нельзя из-под liveCD лечить трояны.

PrintScreen

Цитата:

нельзя из-под liveCD лечить трояны

Ого! Это почему же?!

Интересно, а как еще их (трояны) лечить???

juPiter

Цитата:

И главное - как не стыдно разработчикам антивируса так "лечить" файлы. Лучше вовсе их не трогать, а направить юзера в интернет разбираться.

Интересно, и причем сдесь DrWeb и его liveCD ?

Не раз за последние 10 лет встречался с ситуацией, когда некоторые вирусы делали такое западло...
Его (вирус) убиваешь (причем неважно каким антивирусом) и после перезагрузки не можешь дойти до загрузки рабочего стола...

Впрочем и в этом случае есть возможности восстановить нормальную работу проводника windows - скажем опцией восстановление системы из утилиты AVZ4.
Можно кроме этого подменить реестр на более ранний вручную (как правило причина не-загрузки рабочего стола кроется в реестре) из виндосовских точек восстановления или из папки Windows\Restore (в крайнем случае).

Ну и самое главное !!! Ктож Вас просил использовать Висту как операционку - этож полный геморрой. Ставьте Xp или 7. А тупиковая ветвь эволюции нормально работать не может - доказано жизнью

Добавлено:
Antonij72

Цитата:

Интересно, а как еще их (трояны) лечить???

Из под сборок WinPE (каждый выбирает себе ту, которая ему нравится и удобна)
Я предположим предпоитаю хазеровскую сборку
А LiveCD от DrWeb не очень удобен на практике, впрочем лечит прекрасно

Вот опять доктор пропустил очередного вымогателя денег
Все, что нашел и удалил каспер, лежало в кэше оперы: Ссылка
Просил sms с текстом 3459 46 на номер 9800.
[more=картинка вымогателя тут] [/more]
Точно такая же ситуация была неделю назад у знакомой.
Вирустотал говорит 11 из 41 определяют как вирус.
Отправил в вирлаб. Ждёмс.

lizun
Интересно! Я с этой именно картинкой где-то месяц назад сталкивался. Доктор там был 4.4, он всё и пропустил. А пятёрочка портабельная всё вылечила. В реестре, правда, ручками копаться пришлось...

lizun только что лечил на WinXP этот порнобаннер у клиентки... доктор стоял 4.44... порно не страшный, в безопасном режиме он не торчит (в отличие от сурьёзных winlock'ов)... F8, CureIt!, и всё... ясно дело, после этого обновил дырявый 4.44 на 5.0...
ЗЫ: в связи с этим глянул в поисковики и ахнул... в медвежьих советах идёт несуразица: taskkills.exe (вражеское приложение, необходимое локерам для блокировки диспетчера задач) путают с настоящим системным taskkill.exe... гы
kot1313
Цитата:

после перезагрузки не можешь дойти

juPiter
Цитата:

рабочий стол не появляется. Диспетчер задач заблокирован

извиняюсь, но от ваших постов разит духом потребительства... с одной стороны (гы, если вы лицензированные пользователи), то требования ваши справедливы... заплатил за продукт, пусть он всё и лечит... с другой стороны, спасение утопающих есть дело рук самих...
1. а если серьёзно, нынешняя модернизация винлоков настолько высока, что разрабы не успевают варить противоядия... плюс то, что любым разрабам не хватает обратной связи с потребителями... а именно оперативного получения тех самых заражённых файлов какого-либо новоявленного винлока номер xxxxxxx
2. это раньше было тупо просто: заглянул в папку автозагрузка, а там сидит троян, вон его... сейчас же винлоки прописываются в несколько мест, в т.ч. и в системные... после удаления и перезагрузки они опять всплывают... причём восстановление происходит зачастую с другим именем абракадаброй...
конкретные советы (простенькие):
1. я надеюсь после прохождения CureIt'ом (по умолчанию, в оперативном режиме), вы потом обязательно проводите проверку в Full-режиме... ведь после удаления заразы из кэша броузера, Documents and Settings, \WINDOWS\system32 и т.п., зараза сидит к примеру в восстановлении системы
2. имхо, liveCD полезен не для лечения, а больше как линуксовый загрузчик, чтоб получить полный доступ к заблокированным файлам... и вручную, ручками шерстишь Documents and Settings, system32... для поиска и удаления вражеского набора новоявленных или модернизированных файлов... тяжеловато... облегчить только так: гуглите (гы, или яндексите) название новоявленного винлока (типа вы дожны за такую-то шареваре или по sms с таким-то текстом на такой-то номер)... или ищите на форуме DrWeb... а там уже продвинутые юзеры отписывают, какие вражеские файлы (дата, размер) убрать из системы...
ValeryLedovskoy антинаучно как-то... и конкретных фактов я не предоставлю... но, попробую голословно: мне кажется, что я сталкивался со случаями, когда 5.0 пропускал заразу, а CureIt! потом её убирал... ясндело, что версии (базы) использовались актуальные... может такое быть? ведь движок (и базы) одни и те же... а может мне это только кажется... от усталости

dirnola
Свежий CureIt ничего не нашел даже в безопасном режиме. Могу выложить лог, если надо, правда, он 80 метров... В системе был установлен DrWeb 5, обновляется несколько раз в день. В то же время утиль от касперского, скаченная в тоже время, что и CureIt, все нашла и в обычном режиме (система была запущенна от имени другого пользователя), успешно удалила и стало нам счастье.
Здесь это всего лишь мои факты, ничего личного. Личное я вчера по аське выразил много кому

Добавлено:
UnYura

Цитата:

А пятёрочка портабельная всё вылечила.

Имеется в виду именно портабельная пятерка, а не CureIt?
Как запускали? из-под какой системы?

Цитата:

ValeryLedovskoy антинаучно как-то... и конкретных фактов я не предоставлю... но, попробую голословно: мне кажется, что я сталкивался со случаями, когда 5.0 пропускал заразу, а CureIt! потом её убирал... ясндело, что версии (базы) использовались актуальные... может такое быть? ведь движок (и базы) одни и те же... а может мне это только кажется... от усталости

Да, такое возможно. Сканер в CureIt! имеет несколько дополнительных механизмов защиты от воздействия вредоносных программ на работу антивируса. Но различие не в плане детекта, а именно в механизмах противодействия вредоносным программ, если они находятся в системе в активном состоянии.

ValeryLedovskoy

Цитата:

Сканер в CureIt! имеет несколько дополнительных механизмов защиты от воздействия вредоносных программ на работу антивируса

А за что 5ку наказали и не включили эти доп. механизмы

Цитата:

А за что 5ку наказали и не включили эти доп. механизмы

Здесь правильнее сказать "Почему эти механизмы включили в Dr.Web CureIt!".
Эта утилита сейчас работает без поддержки самозащиты (кроме специального платного варианта, который вышел недавно и в котором вроде бы самозащита есть), и поэтому там несколько не такой сканер, как в полноценном антивирусе, его защитные механизмы компенсируют (не полностью, конечно) отсутствие самозащиты.
Почему эти моменты не были использованы в полноценном антивирусе, сказать здесь сложно, потому что нужно перечислять эти механизмы, вдаваться в их специфику, а делать этого нельзя

ValeryLedovskoy

Цитата:

Почему эти моменты не были использованы в полноценном антивирусе, сказать здесь сложно, потому что нужно перечислять эти механизмы, вдаваться в их специфику, а делать этого нельзя

Да я и не прошу
Защита действительно хорошая, я неправильно сформулировал вопрос- речь о другом- о детекте

Цитата:

утиль от касперского, скаченная в тоже время, что и CureIt, все нашла и в обычном режиме (система была запущенна от имени другого пользователя), успешно удалила

lizun

Цитата:

Имеется в виду именно портабельная пятерка, а не CureIt?

да

Цитата:

Как запускали? из-под какой системы?

ну, это всё зависит от степени и вида заразы. А в данном конкретном случае - в безопасном режиме, удалив предварительно в диспетчере задач ненужные и подозрительные процессы. Потом подключаю флешку, копирую с неё портабл на винт - и вперёд. Можно и с флешки, но так, вроде, побыстрее получается.

HelioSS

Цитата:

Ого! Это почему же?!

Сканер, кроме удаления трояна, также чистит реестр, где прописан его запуск. Это он может сделать при обычной загрузке или в безопасном режиме.
При загрузке же с внешнего носителя будет удалён только сам троян, а реестр останется непролеченным, и реальна ситуация, что после этого Windows вообще не загрузится.

Цитата:

Сканер, кроме удаления трояна, также чистит реестр, где прописан его запуск.

Согласен. Нормальные трояны генерируют тело того вируса, который паотом ловится антивирусом. А нормальный антивирус мочит не только работающий клиент трояна, но и его генератор. А тогда запись в реестре о запуске вируса по барабану.
Так что всегда стараюсь лечить с LiveCD антивирусом с последними обновлениями лечащего модуля.

Люди, есть утилита, которая полностью сносит Доктора?
Та, что в шапке не помогает, а в ручную я запарился%(( Не получается...
Очень нужно, Каспер не хочет ставится....

А по моему вопросу, я так понимаю, ответа пока нет?

vikonrob, Вам бы нужно в техподдержку и изучать вопрос детально. С ходу не могу придумать, почему оно может быть так. Может быть, бага в инсталляторе. Может быть, в отдельных компонентах. Может быть, есть нюансы в Вашей ОС/ПО.

MoLnuS, Вам тоже нужно в техподдержку или на форум. Если ремувер не помогает, значит, есть нюансы.

ValeryLedovskoy, мне просто любопытно узнать, это только у меня такая бага, или у кого-то тоже такое наблюдается? Или все пользуются русскоязычной версией и в ус не дуют?

Так, на всякий случай, Советы доктора для изничтожения винлоков
http://www.drweb.com/unlocker/index

Может кто встречал программный вариант удаляющий винлоки скажем из под сборок WinPe
А то сегодня скажем сегодняшний CureIt так и не нашел винлок у знакомого.
Едиственно, что спасло - воврат реестра из под WinPe с помошью одной из сохраненных с помошью програмы ERUNT копий реестра.
+ ручное удаление корзины, папок временных файлов, system wolume information и т.п.
Просто уже надоело каждый раз вручную чистить. Не поспевает ни LiveCd, ни CureIt за новыми мутациями винлока.
Ведь есть же малюсенькая утилитка AntiAutorun, целенаправленно убивающая тока вирусы-аутораны и их резервные копии (_www.bombina.com/s3_anti_autorun.htm_).
Есть и у каспера миниутилита salitykiller для убийства вируса Скайнет (по терминологии DrWeb это Win32.Sector.19) и его старых модификаций.
Может кто написал реально работающую миниудалялку для винлоков ?